Escolar Documentos
Profissional Documentos
Cultura Documentos
2
Poder Judiciário
RESOLVE:
3
Poder Judiciário
4
Poder Judiciário
Protocolo
5
Poder Judiciário
Sumário
1. Escopo........................................................................................................................ 7
2. Funções básicas.......................................................................................................... 7
3. Princípios críticos ...................................................................................................... 8
4. Gestão de Incidentes de Segurança da Informação ................................................... 9
5. Competência de atuação ............................................................................................ 9
6. Funcionamento da ETIR .......................................................................................... 10
7. Boas Práticas de Segurança Cibernéticas ................................................................ 10
Poder Judiciário
2. Funções básicas
2.1 São funções básicas do PPINC-PJ: identificar, proteger, detectar, responder e
recuperar, nos seguintes termos:
2.1.1 identificar: entendimento organizacional para gerenciar o risco direto e/ou
indireto de ataques cibernéticos a sistemas, pessoas, ativos, dados e recursos.
Permite ao órgão avaliar os recursos que suportam funções críticas e os riscos
relacionados. São medidas de concentração e priorização dos esforços na gestão
de ativos, ambiente de negócios, governança, avaliação de riscos e estratégia de
gestão de riscos.
2.1.2 proteger: desenvolvimento e implementação de salvaguardas que assegurem a
proteção de dados, inclusive pessoais, e de ativos de informação, bem como a
prestação de serviços críticos.
2.1.3 detectar: desenvolvimento e implementação de atividades adequadas à
descoberta oportuna de eventos ou à detecção de incidentes de segurança
cibernética. Estão contempladas ações de monitoramento contínuo de segurança,
processos de detecção de anomalias e eventos.
2.1.4 responder: desenvolvimento e implementação de atividades apropriadas à
adoção de medidas em incidentes cibernéticos detectados. Nessa categoria, são
7
Poder Judiciário
3. Princípios críticos
3.1 O protocolo de prevenção a incidentes cibernéticos criado no âmbito de cada
tribunal contemplará um conjunto de princípios críticos que assegurem a construção de
sistema de segurança cibernética eficaz.
3.2 São princípios críticos que podem ser adaptados, incrementados ou ajustados,
considerada a realidade de cada órgão do Poder Judiciário:
3.2.1 base de conhecimento de defesa: consiste no uso de informações e
conhecimento de ataques reais que comprometeram sistemas. Informações
conseguidas por meio de interação e de cooperação com outras equipes de
tratamento a incidentes e respostas. Tem por propósito fornecer bases
fundamentais ao aprendizado contínuo com apoio em eventos ocorridos. Apoia
a construção de defesas eficazes e práticas.
3.2.2 priorização: foco prioritário na formação, na revisão de controles/acessos, nos
processos e na disseminação da cultura de segurança cibernética. Contribui para
a redução de riscos e para a proteção contra as ameaças mais sensíveis e que
encontram viabilidade em sua célere implementação.
3.2.3 instrumentos de medição e métricas: definição e estabelecimento de métricas
comuns que fornecem linguagem compartilhada e de compreensão abrangente
para magistrados, servidores, colaboradores, prestadores de serviços,
especialistas em tecnologia da informação, auditores e demais atores do sistema
de segurança. Permite a medição da eficácia das medidas de segurança dentro da
organização. Fornece insumos para que os ajustes necessários, quando
identificados, possam ser implementados de forma célere.
8
Poder Judiciário
5. Competência de atuação
5.1 Deverá ser formalmente instituída Equipe de Tratamento e Resposta a Incidentes
de Segurança Cibernética (ETIR), em todos os órgãos do Poder Judiciário, à exceção do
STF.
5.2 A ETIR poderá solicitar apoio multidisciplinar para responder aos incidentes de
segurança de maneira adequada e tempestiva, em áreas como: tecnologia da informação,
segurança da informação, jurídica, pesquisas judiciárias, comunicação, controle interno,
segurança institucional, entre outras.
9
Poder Judiciário
6. Funcionamento da ETIR
6.1 O funcionamento da ETIR é regulado por documento formal de constituição,
publicado no sítio eletrônico do respectivo órgão, devendo constar, no mínimo, os
seguintes pontos:
a) definição da missão;
b) público-alvo;
c) modelo de implementação;
d) nível de autonomia;
e) designação de integrantes;
f) canal de comunicação de incidentes de segurança; e
g) serviços que serão prestados.
10
Poder Judiciário
11
Poder Judiciário
12
Poder Judiciário
Protocolo
13
Poder Judiciário
Sumário
1. Escopo ................................................................................................................. 15
2. Identificação de Crise Cibernética ........................................................................... 15
3. Fases do Gerenciamento de Crises .......................................................................... 15
4. Planejamento da Crise (pré-crise) ............................................................................ 15
5. Execução (durante a crise) ....................................................................................... 17
6. Melhoria contínua (lições aprendidas no pós-crise) ................................................ 19
7. Exemplo de Plano de Gestão de Incidentes Cibernéticos ........................................ 19
Poder Judiciário
15
Poder Judiciário
4.2 Deve-se definir a sala de situação e criar um Comitê de Crises Cibernéticas, composto
por representantes da alta administração e por representantes executivos, com suporte da
ETIR e de especialistas:
a) da área Jurídica;
b) da área de Comunicação Institucional;
c) da área de Tecnologia da Informação e Comunicação;
d) da área de Privacidade de Dados Pessoais;
e) da área de Segurança da Informação;
f) das unidades administrativas de apoio à contratação; e
g) da área de Segurança Institucional.
16
Poder Judiciário
17
Poder Judiciário
18
Poder Judiciário
6.3 As lições aprendidas devem ser utilizadas para a elaboração ou revisão dos
procedimentos específicos de resposta (playbooks) e para a melhoria do processo de
preparação para crises cibernéticas.
6.4 Deve ser elaborado Relatório de Comunicação de Incidente de Segurança Cibernética,
que contenha a descrição e o detalhamento da crise, bem como o plano de ação tomado
para evitar que incidentes similares ocorram novamente ou para que, em caso de
ocorrência, se reduzam os danos causados. Deve ser elaborado Relatório de Comunicação
de Incidente de Segurança Cibernética, que contenha a descrição e o detalhamento da
crise, e o plano de ação tomado para evitar que incidentes similares ocorram novamente
ou para que, em caso de ocorrência, se reduzam os danos causados.
19
Poder Judiciário
20
Poder Judiciário
Protocolo
21
Poder Judiciário
Sumário
1. Objetivo ..................................................................................................................... 2
2. Requisitos para Adequação dos Ativos de Informação ............................................. 2
3. Procedimento para Coleta e Preservação das Evidências .......................................... 4
4. Comunicação do Incidente de Segurança .................................................................. 5
1
Poder Judiciário
2.3. Os registros dos eventos previstos no item 2.2 devem incluir as seguintes
informações:
a) identificação inequívoca do usuário que acessou o recurso;
b) natureza do evento, como, por exemplo, sucesso ou falha de autenticação,
tentativa de troca de senha etc.;
c) data, hora e fuso horário, observando-se a HLB; e
2
Poder Judiciário
2.4. Os ativos de informação que não propiciem os registros dos eventos listados no item
2.3. devem ser mapeados e documentados quanto ao tipo e formato de registros de
auditoria permitidos e armazenados.
2.5. Os sistemas e as redes de comunicação de dados devem ser monitorados, registrando-
se, minimamente, os seguintes eventos de segurança, sem prejuízo de outros considerados
relevantes:
a) utilização de usuários, perfis e grupos privilegiados;
b) inicialização, suspensão e reinicialização de serviços;
c) acoplamento e desacoplamento de dispositivos de hardware, com especial
atenção para mídias removíveis;
d) modificações da lista de membros de grupos privilegiados;
e) modificações de política de senhas, como, por exemplo, tamanho, expiração,
bloqueio automático após exceder determinado número de tentativas de
autenticação, histórico etc.;
f) acesso ou modificação de arquivos ou sistemas considerados críticos; e
g) eventos obtidos por meio de quaisquer mecanismos de segurança existentes.
2.6. Os servidores de hospedagem de página eletrônica, bem como todo e qualquer outro
ativo de informação que assim o permita, devem ser configurados para armazenar
registros históricos de eventos (logs) em formato que possibilite a completa identificação
dos fluxos de dados.
2.7. Os registros devem ser armazenados pelo período mínimo de 6 (seis) meses, sem
prejuízo de outros prazos previstos em normativos específicos.
3
Poder Judiciário
4
Poder Judiciário
3.6. Todo material coletado deverá ser lacrado e custodiado pelo agente responsável pela
ETIR, o qual deverá preencher Termo de Custódia dos Ativos de Informação relacionados
ao incidente de segurança penalmente relevante.
3.7. O material coletado ficará à disposição da autoridade responsável pelo órgão do
Poder Judiciário competente.
5
Poder Judiciário
e) relato sobre o incidente que descreva o que ocorreu, como foi detectado e quais
dados foram coletados e preservados;
f) descrição das atividades de tratamento e resposta ao incidente e todas as
providências tomadas pela ETIR, incluindo as ações de preservação e coleta, a
metodologia e as ferramentas utilizadas e o local de armazenamento das informações
preservadas;
g) resumo criptográfico dos arquivos coletados;
h) Termo de Custódia dos Ativos de Informação Relacionados ao Incidente de
Segurança;
i) número de lacre de material físico preservado, se houver; e
j) justificativa sobre a eventual inviabilidade de preservação das mídias de
armazenamento dos dispositivos afetados, diante da impossibilidade de mantê-las.
4.5. O Relatório de Comunicação de Incidente de Segurança em Redes Computacionais
deverá ser acondicionado em envelope lacrado e rubricado pelo agente responsável pela
ETIR, protocolado e encaminhado formalmente à autoridade responsável pelo órgão do
Poder Judiciário afetado.
4.6. Deverá constar no documento formal de encaminhamento a que se refere o item 4.5,
apenas a informação de que se trata de comunicação de evento relacionado à segurança
da informação, sem a descrição dos fatos.
4.7. Recebida a Comunicação de Incidente de Segurança em Redes Computacionais, a
autoridade responsável pelo órgão do Poder Judiciário deverá encaminhá-la formalmente
ao Ministério Público e ao órgão de polícia judiciária com atribuição para apurar os fatos,
juntamente com o todo o material previsto neste protocolo, para fins de instrução da
notícia crime.
6
Poder Judiciário
Manual de Referência
7
Poder Judiciário
Sumário
1. Motivação e Origem ..........................................................................................................9
2. Estrutura do Documento ....................................................................................................9
3. Referência Normativa ..................................................................................................... 10
4. Campo de Aplicação ....................................................................................................... 11
5. Finalidade e Escopo ........................................................................................................ 11
6. Princípios ........................................................................................................................ 12
7. Controles Mínimos Recomendados ................................................................................ 13
8. Checklist para utilização dos Controles Mínimos Recomendados: ................................ 15
8
Poder Judiciário
1. Motivação e Origem
1.1. O cenário tecnológico atual propicia avanços em todos os setores da sociedade, inclusive nos serviços prestados pelo Poder Judiciário.
Nos últimos anos o Judiciário vem passando por grandes avanços tecnológicos, conferindo-lhe mais agilidade e ampliando o acesso à Justiça.
De forma quase natural os ambientes tecnológicos tornaram-se maiores, mais complexos, bem como os processos de negócio se tornaram
mais dependentes da tecnologia. Nesse contexto os riscos relacionados à segurança da informação tendem a amplificar-se e, em muitos casos,
materializar-se.
1.2. Esse cenário tecnológico é reforçado pela Resolução CNJ no 345/2020, que autoriza os tribunais a adotarem o Juízo 100% Digital para
viabilizarem a execução de todos os atos processuais exclusivamente por meio eletrônico e remoto. A medida segue um dos principais eixos
definidos pelo CNJ, voltada para o incentivo à inovação tecnológica, eficiência na prestação do serviço jurisdicional e a redução de custos
do Judiciário.
1.3. Os fatores citados somados às novas exigências legais, como, por exemplo, a LGPD, motivam o CNJ, por meio do Comitê Gestor de
Segurança Cibernética do Poder Judiciário (CGSCPJ), a apoiar os órgãos do Judiciário, estabelecendo padrões mínimos para proteção de sua
infraestrutura tecnológica. Esses padrões foram organizados neste Manual, que conta com orientações organizacionais sobre sua aplicação e
uma lista de controles mínimos exigidos para implantação pelos órgãos do Judiciário.
2 Estrutura do Documento
2.1 Este documento foi organizado no intuito de facilitar sua leitura e entendimento, incrementando sua aplicabilidade em ambientes reais e
está dividido nas seguintes seções:
a) Motivação e Origem: descreve a motivação e a autoria do documento;
Poder Judiciário
10
Poder Judiciário
4 Campo de Aplicação
4.1. Este Manual é de aplicação mandatória no âmbito do Poder Judiciário, com exceção do Supremo Tribunal Federal. Portanto, todo órgão
do Judiciário que conte com infraestrutura tecnológica, inclusive mantida ou administrada por terceiros, deve seguir as orientações e implantar
os controles mínimos aqui recomendados.
5 Finalidade e Escopo
5.1. Este Manual tem por finalidade estabelecer as diretrizes estratégicas para a implementação dos controles de segurança cibernética
necessários para proteção de infraestruturas de TIC de forma a preservar a disponibilidade, integridade, confidencialidade e autenticidade
das informações.
5.2. As orientações e os controles recomendados neste Manual aplicam-se a todos os membros do órgão, sejam eles magistrados ou
magistradas, servidores ou servidoras, colaboradores ou colaboradoras, fornecedores, prestadores ou prestadoras de serviços, estagiários ou
estagiárias que, oficialmente, executem atividades relacionadas ao órgão.
5.3. Cabe ainda ressaltar que as orientações e os controles aqui expostos consistem em base mínima para a proteção de infraestruturas críticas
de TI, não limitando a evolução do modelo de segurança da informação de cada órgão, bem como a adoção de outros controles, processos e
frameworks que possam contribuir nesse contexto.
11
Poder Judiciário
6. Princípios
6.1. Está disposta a seguir uma lista com os princípios que devem nortear a leitura e as atividades baseadas neste documento.
6.1.1 Eficiência: propriedade de que a Política de Segurança da Informação e das Comunicações (POSIC) e suas Normas busquem o
melhor resultado possível, por meio das suas diretrizes e normatizações, visando a auxiliar para que a atividade administrativa seja exercida
com presteza, perfeição e rendimento funcional.
6.1.2 Ética: propriedade de que a POSIC e suas Normas devem seguir os valores morais de conduta. São todos os direitos e interesses legítimos
de usuários.
6.1.3 Impessoalidade: propriedade de que a POSIC e suas Normas devem servir para todos, sem preferências ou aversões pessoais ou
partidárias.
6.1.4 Legalidade: propriedade de que a POSIC e suas Normas devem atuar no âmbito das leis.
6.1.5 Moralidade: propriedade de que as diretrizes estabelecidas nesta POSIC e suas Normas preservarão a moral dos princípios éticos, da
boa-fé e da lealdade.
6.1.6 Publicidade: propriedade de que a POSIC e suas Normas terão publicidade e serão levadas ao conhecimento de toda a Entidade,
buscando garantir atuação transparente do Poder Público.
12
Poder Judiciário
13
Poder Judiciário
7.4. Cabe ressaltar que a classificação por grupos é uma sugestão para direcionamento e priorização dos esforços de segurança da informação
a serem operacionalizados, e que tal abordagem deve ter sua aplicabilidade e aderência sempre validadas\adequadas para o contexto de cada
organização.
7.5. A categorização pelo NIST CSF também foi incluída para apoiar o entendimento sobre em que fase de um incidente o controle se
enquadra.
7.6. Os controles disponíveis para trabalho a partir deste Manual são essencialmente técnicos. Entretanto, para alcançar sua implementação,
os órgãos precisam de medidas organizacionais que apoiem a efetivação de cada um deles. A descrição dessas medidas não faz parte do
escopo deste Manual, mas é importante considerar o patrocínio e o acompanhamento pela alta administração, que deve entender a aplicação
desses controles como estratégica para o órgão.
14
Poder Judiciário
Maturidade de SI
ID Requisito Controle NIST CSF Grupo Grupo Grupo
1 2 3
Utilizar uma ferramenta de descoberta ativa para identificar dispositivos conectados à rede da
1.1 Identificar X X
organização, e atualizar o inventário de hardware.
Utilizar os registros (logs) do Dynamic Host Configuration Protocol (DHCP) em todos os
1.2 servidores ou utilizar ferramentas de gerenciamento de endereços IP para atualizar o inventário Identificar X X
de ativos de hardware.
Manter inventário atualizado e preciso de todos os ativos de tecnologia que detenham o potencial
1.3 de armazenamento ou processamento de informações. Esse inventário deve incluir ativos de Identificar X X X
hardware, conectados ou não à rede da organização.
15
Poder Judiciário
Manter uma lista atualizada de todos os softwares autorizados que sejam necessários à
2.1 Identificar X X X
organização para qualquer propósito ou sistema de negócios.
Garantir que apenas aplicações ou sistemas operacionais atualmente suportados pelo fabricante
2.2 sejam adicionados ao inventário de softwares autorizados. Softwares sem suporte devem ser Identificar X X X
indicados no sistema de inventário.
Utilizar ferramentas de inventário de software em toda a organização de forma a automatizar a
2.3 Identificar X X
documentação de todos os softwares que componham sistemas de negócio.
O sistema de inventário de software deve registrar nome, versão, fabricante e data de instalação
2.4 Identificar X X
para todos os softwares, incluindo sistemas operacionais autorizados pela organização.
O sistema de inventário de software deve ser vinculado ao inventário de ativos de hardware, de
2.5 forma que todos os dispositivos e softwares associados possam ser rastreados a partir de uma Identificar X
única localidade.
Garantir que qualquer software não autorizado seja removido, ou que o inventário seja atualizado
2.6 Identificar X X X
em tempo hábil.
16
Poder Judiciário
Utilizar uma ferramenta atualizada e compatível com o SCAP para efetuar varreduras
3.1 automatizadas em todos os ativos conectados à rede com frequência semanal ou inferior. para Detectar X X
identificar todas as vulnerabilidades potenciais nos sistemas da organização.
Realizar varreduras por vulnerabilidades com contas autenticadas em agentes executados
3.2 localmente em cada sistema, ou varreduras por scanners remotos que sejam configurados com Detectar X X
privilégios elevados nos sistemas que estejam sendo testados.
Utilizar uma conta dedicada para as varreduras por vulnerabilidades autenticadas, que não deve
3.3 ser utilizada para quaisquer outras atividades administrativas e que deve ser vinculada a Detectar X X
equipamentos específicos, em endereços IP específicos.
Implantar ferramentas de atualização automatizada de software, de forma a garantir que os
3.4 sistemas operacionais sejam executados com as atualizações de segurança mais recentes Proteger X X X
disponibilizadas pelo fabricante.
Implantar ferramentas de atualização automatizada de software de forma a garantir que os
3.5 softwares de terceiros em todos os equipamentos sejam utilizados com as atualizações de Proteger X X X
segurança mais recentes disponibilizadas pelo fabricante.
Utilizar um processo de classificação de riscos para priorizar a remediação de vulnerabilidades
3.6 Responder X X
descobertas.
17
Poder Judiciário
18
Poder Judiciário
Configuração segura para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores
Utilizar ao menos três fontes de horário sincronizadas, a partir das quais todos os servidores e
6.1 dispositivos de rede atualizem informações sobre horário de forma regular, a fim de que os Detectar X X
timestamps dos logs sejam consistentes.
6.2 Garantir que o log local tenha sido habilitado em todos os sistemas e dispositivos de rede. Detectar X X X
19
Poder Judiciário
7.1 Garantir que apenas navegadores web e clientes de e-mail suportados possam ser executados na Proteger X X X
organização, idealmente utilizando apenas a versão mais recente disponibilizada pelo fabricante.
Desinstalar ou desabilitar plug-ins ou aplicações add-on não autorizados para navegadores web e
7.2 Proteger X X
clientes de e-mail.
Utilizar filtros de URL baseados em rede de forma a limitar a possibilidade de sistemas se
7.3 conectarem a websites não aprovados pela organização. Tais filtros devem ser impostos a todos Proteger X X
os sistemas da organização, quer se encontrem dentro do espaço físico da organização, quer não.
20
Poder Judiciário
21
Poder Judiciário
Garantir que todos os dados dos sistemas tenham cópias de segurança (backups) realizados
9.1 Proteger X X X
automaticamente de forma regular.
Garantir que todos os sistemas chave da organização tenham suas cópias de segurança (backups)
9.2 realizadas como um sistema completo, por meio de processos como a geração de imagem, de Proteger X X X
forma a permitir uma rápida recuperação de todo o sistema.
22
Poder Judiciário
Proteção de dados
23
Poder Judiciário
24
Poder Judiciário
Manual de Referência
Sumário
Introdução .......................................................................................................................................................... 28
1. Principais frameworks de referência utilizados.......................................................................................... 29
2. MITRE ATT&CK ...................................................................................................................................... 30
3. Norma ABNT NBR ISO/IEC 27000:2018 ................................................................................................ 30
4. Norma ABNT NBR ISO/IEC 27001:2013 ................................................................................................ 31
5. Norma ABNT/NBR ISO/IEC 27005:2019 ................................................................................................ 31
6. Norma ABNT NBR ISO/IEC 27007:2018 ................................................................................................ 31
7. Norma ABNT NBR ISO/IEC 19011:2018 ................................................................................................ 32
8. Norma Complementar no 11/IN01/DSIC/GSIPR, de 2012 ........................................................................ 32
9. NIST SP 800-160 v2 .................................................................................................................................. 32
10. Resolução CNJ no 309/2020 .................................................................................................................. 33
11. Padrões mínimos de Gestão de Riscos de Segurança da Informação .................................................... 33
12. Princípios ............................................................................................................................................... 34
13. Diretrizes ................................................................................................................................................ 35
14. Objetivos ................................................................................................................................................ 36
15. Estrutura e Competências....................................................................................................................... 36
16. Comitê de Governança de Segurança da Informação (CGSI)................................................................ 37
17. Unidade dirigente de TIC do órgão........................................................................................................ 37
18. Unidade responsável pela Gestão de Segurança da Informação de TIC do Órgão ................................ 38
19. Gestores de riscos .................................................................................................................................. 38
20. Gestores de processos ............................................................................................................................ 39
21. Processo de Gestão de Riscos de Segurança da Informação.................................................................. 39
Poder Judiciário
27
Poder Judiciário
28
Poder Judiciário
29
Poder Judiciário
3.2 Projetada para ser aplicável a todos os tipos e tamanhos da organização de negócios, desde multinacionais até as pequenas e médias
empresas, a nova versão é igualmente valiosa para agências governamentais ou organizações sem fins lucrativos3.
1
https://attack.mitre.org/.
2 A versão original da norma ISO/IEC 27000:2018 está publicamente disponível em https://standards.iso.org/ittf/PubliclyAvailableStandards/.
3
http://www.abnt.org.br/noticias/5777-iso-iec-27000-norma-internacional-de-seguranca-da-informacao-e-revisada.
30
Poder Judiciário
4
https://www.abntcatalogo.com.br/norma.aspx?ID=306580.
5
https://www.abntcatalogo.com.br/norma.aspx?ID=429058.
6 https://www.abntcatalogo.com.br/norma.aspx?ID=401077.
31
Poder Judiciário
7
http://www.abnt.org.br/noticias/6215-abnt-nbr-iso-19011-finalmente-publicada.
8
https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?data=10/02/2012&jornal=1&pagina=2&totalArquivos=264.
32
Poder Judiciário
9
https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/final.
10
https://atos.cnj.jus.br/atos/detalhar/3289.
33
Poder Judiciário
12. Princípios
12.1 Sugere-se que a política de gestão de riscos de segurança da informação observe os seguintes princípios:
a) Proteção dos valores organizacionais;
b) Melhoria contínua da organização;
11
https://portal.tcu.gov.br/data/files/FA/B6/EA/85/1CD4671023455957E18818A8/Referencial_basico_governanca_2_edicao.PDF.
12
https://atos.cnj.jus.br/atos/detalhar/3060.
34
Poder Judiciário
13. Diretrizes
13.1 Sugere-se que o processo de gestão de riscos de segurança da informação observe as seguintes diretrizes:
a) Ser parte integrante dos processos organizacionais de Tecnologia da Informação e Comunicação (TIC);
b) Ser parte da tomada de decisões;
c) Ser sistemático, estruturado e oportuno;
d) Ser baseado nas melhores informações disponíveis;
e) Considerar fatores humanos e culturais;
f) Ser transparente e inclusivo;
g) Ser dinâmico, iterativo e capaz de reagir às mudanças tempestivamente;
h) Contribuir para a melhoria contínua da organização.
35
Poder Judiciário
14. Objetivos
14.1 Sugere-se que a política de gestão de riscos de segurança da informação tenha por objetivo:
a) apoiar as unidades organizacionais no que tange aos riscos de segurança da informação em tecnologia da informação da
organização;
b) aprimorar o processo de tomada de decisão, com o propósito de incorporar a visão de riscos em conformidade com as melhores
práticas;
c) melhorar a alocação de recursos;
d) aprimorar os controles internos;
e) alinhar a tolerância a risco à estratégia adotada;
f) resguardar a Administração Superior e os demais gestores da organização quanto à tomada de decisão e à prestação de contas;
g) identificar, avaliar e reagir às oportunidades e ameaças; e
h) melhorar a eficiência operacional por meio do gerenciamento de riscos proativos.
36
Poder Judiciário
15.2 São considerados gestores de riscos, em seus respectivos âmbitos e escopos de atuação, os titulares das unidades responsáveis pelos
serviços.
15.3 São considerados gestores de processos, serviços e ativos de TIC os responsáveis pelos processos de trabalho, projetos e ações
desenvolvidos nos níveis estratégico, tático e operacional do órgão.
15.4 Embora determinem-se papéis e responsabilidades específicas, espera-se que a gestão de riscos de segurança da informação seja de
responsabilidade compartilhada de magistrados e magistradas, servidores e servidoras, estagiários e estagiárias, e prestadores e prestadoras
de serviço.
16. Comitê de Governança de Segurança da Informação (CGSI)
16.1 Compete ao Comitê de Governança de Tecnologia da Informação:
I. aprovar a política de gestão de riscos de segurança da informação;
II. analisar os riscos não tratados bem como decidir sobre possíveis providências; e
III. decidir sobre prioridades de atuação.
37
Poder Judiciário
38
Poder Judiciário
39
Poder Judiciário
21.2 As ações de tratamento deverão explicitar as iniciativas propostas, os responsáveis pela implementação, os recursos requeridos e o
cronograma sugerido.
21.3 As fases, os procedimentos e os instrumentos necessários ao processo deverão ser formalizados em ferramenta corporativa adequada.
21.4 Os sistemas, serviços e ativos de TIC homologados devem ser submetidos à unidade responsável pela Gestão de Segurança da
Informação de TIC do órgão para identificação de riscos, antes de sua primeira efetiva disponibilização em ambiente de produção, de modo
a se evitar a exploração de vulnerabilidades em ambiente crítico.
21.5 A publicação de sítios eletrônicos, aplicações ou serviços no domínio oficial do órgão na internet e/ou em seus subdomínios deverá ser
normatizada.
21.6 A política de gestão de riscos de segurança da informação deverá abranger categorias de impacto de risco, sugerindo-se os seguintes:
40
Poder Judiciário
21.7 Além disso, também deverá prever categorias de probabilidade de risco, sugerindo-se os seguintes:
I. muito baixo;
II. baixo;
III. médio;
IV. alto; e
V. muito alto.
21.8 Deverão ser considerados, para fins de categorização e classificação, tanto os riscos internos quanto os riscos externos à organização.
41
Poder Judiciário
24. Objetivos
24.1 A aplicação dos controles deste Manual busca assegurar que as auditorias sobre segurança da informação cumpram pontos mais
específicos desse tipo de auditoria, além de buscar caminhos para viabilizar auditorias cruzadas e terceirizadas. Auditorias serão executadas
com mais independência, qualidade e, consequentemente, subsidiarão mais efetivamente a melhoria contínua da gestão de segurança da
informação em cada órgão.
42
Poder Judiciário
25.2 Cada órgão tem autonomia para definir o posicionamento das suas unidades na estrutura organizacional, o que garante a acomodação
de novas funções organizacionais que considera as peculiaridades de cada órgão. Entretanto, é imprescindível que cada órgão considere a
inclusão da gestão de segurança da informação em sua estrutura, buscando conciliar as boas práticas e suas peculiaridades na escolha da
posição dessas funções na estrutura organizacional.
27. Metas
27.1 Para a garantia de um nível de segurança cibernética adequado deve-se estabelecer, no mínimo, 4 (quatro) metas14:
13
Hausken, Kjell (9/2020). "Cyber resilience in firms, organizations and societies".
14
NIST SP 800-160 v2 (11/2019) https://csrc.nist.gov/publications/detail/sp/800-160/vol.2/final.
43
Poder Judiciário
28. Objetivos
28.1 Para implementar uma estratégia de resiliência cibernética devem ser previstos, no mínimo, 4 (quatro) objetivos específicos15:
a) Prevenir: impedir a execução bem-sucedida de um ataque ou a imposição de condições adversas;
b) Preparar: manter um conjunto de ações realistas que abordem adversidades previstas;
c) Continuar: maximizar a duração e a viabilidade da missão ou funções de negócios essenciais durante adversidades;
d) Conter: limitar a extensão de dados em uma adversidade.
15
NIST SP 800-160 v2 (11/2019) https://csrc.nist.gov/publications/detail/sp/800-160/vol.2/final.
16 NIST SP 800-160 v2 (11/2019) https://csrc.nist.gov/publications/detail/sp/800-160/vol.2/final
44
Poder Judiciário
45
Poder Judiciário
17
https://attack.mitre.org
18
IDC (10/2020). Five Key Technologies for Enabling a Cyber-Resilience Framework.
46
Poder Judiciário
19
IDC (10/2020). Five Key Technologies for Enabling a Cyber-Resilience Framework (https://www.ibm.com/downloads/cas/YBDGKDXO).
47
Poder Judiciário
32. Da identificação
32.1 Espera-se que na organização:
48
Poder Judiciário
33. Da proteção
33.1 Espera-se que na organização:
a) identidades e credenciais sejam emitidas, gerenciadas, verificadas, revogadas e auditadas para dispositivos, usuários e
processos;
49
Poder Judiciário
50
Poder Judiciário
51
Poder Judiciário
34. Da detecção
34.1 Espera-se que na organização:
a) sejam implementados mecanismos (alta disponibilidade, balanceamento de carga, hot swap) para atingir os requisitos de
resiliência em situações adversas;
b) sejam estabelecidas linhas de base de operações de rede e fluxos de dados esperados para usuários e sistemas. Se possível,
implementando sistemas do tipo Endpoint Detection and Response (EDR) e User and Entity Behavioral Analysis (UEBA)
para avaliação do comportamento de usuários e sistemas;
c) os eventos detectados sejam analisados a fim de se compreender os alvos e métodos dos ataques;
d) os dados de eventos sejam coletados e correlacionados a partir de várias fontes e sensores. Sugere-se utilizar solução de
Security Information and Event Management (SIEM) para auxiliar no correlacionamento de eventos;
e) existam thresholds e regras para geração de incidentes a partir dos eventos coletados;
f) exista monitoramento específico de segurança cibernética para o ambiente físico, a rede e as atividades pessoais a fim de se
detectar eventos;
g) exista processo de detecção de códigos maliciosos;
h) sejam realizados escaneamentos de vulnerabilidades frequentemente;
52
Poder Judiciário
35. Da resposta
35.1 Espera-se que na organização:
a) exista um plano de resposta a ser executado durante e após um incidente, e que a comunicação de incidentes ocorra de acordo
com a política estabelecida, envolvendo a alta administração quando houver comprometimento de imagem;
b) todas as notificações de detecção de ameaças sejam investigadas;
c) os incidentes sejam classificados de forma consistente de acordo com política específica;
d) os incidentes sejam contidos ou mitigados no menor tempo possível;
e) seja realizada investigação forense dos incidentes de segurança cibernética;
f) existam processos estabelecidos para receber, analisar e responder às vulnerabilidades divulgadas à organização a partir de
fontes internas e externas (por exemplo, testes internos, boletins de segurança ou pesquisadores de segurança); e
g) o plano de resposta incorpore as lições aprendidas e que as estratégias de resposta sejam constantemente atualizadas.
53
Poder Judiciário
37. Checklist
37.1 Após definida a estratégia de segurança cibernética da organização, espera-se que sejam estipuladas metas de atendimento/implantação
desses recursos, com acompanhamento pela alta administração.
37.2 No caso de adequação de dependências descentralizadas ou distribuídas geograficamente pelo país, o ideal é definir o tempo de
adequação que cada uma terá que atender, possibilitando o apoio centralizado da área de segurança da empresa.
Considerando que as tecnologias mudam rapidamente e que as ameaças cibernéticas crescem exponencialmente não haverá momento de
“relaxamento” no atendimento desses requisitos mínimos num futuro próximo.
Recomenda-se que a aplicação dos checklists ou das listas de autoverificação implementadas pela organização seja periódica (sugere-se no
mínimo periodicidade anual) e que sejam estabelecidos níveis de maturidade nessa avaliação. O objetivo é possibilitar a melhoria contínua
dos normativos, dos processos e das iniciativas em segurança cibernética da organização.
54
Poder Judiciário
Definição Descrição
1 – Não observado ou inicial Fator não foi demonstrado claramente
2 – Maturidade baixa ou em
Fator demonstrado claramente, mas não integrado
desenvolvimento
Fator suficientemente demonstrado, integrado, mas não está
3 – Maturidade média ou definida
medido
55
Poder Judiciário
56
Poder Judiciário
57
Poder Judiciário
58
Poder Judiciário
59
Poder Judiciário
60
Poder Judiciário
Manual de Referência
GESTÃO DE IDENTIDADE E
CONTROLE DE ACESSOS
1
Poder Judiciário
Sumário
1. Visão geral .............................................................................................................................1
2. Principais frameworks de referência utilizados .....................................................................1
2.1. CIS Controls 7.1.................................................................................................................1
2.2. MITRE ATT&CK ..............................................................................................................2
2.3. Norma ABNT NBR ISO/IEC 27001:2013 ........................................................................2
2.4. NIST SP 800-53 .................................................................................................................2
3. Diretrizes gerais .....................................................................................................................3
4. Tipos de contas ......................................................................................................................4
5. Autenticação ..........................................................................................................................5
6. Autorização ............................................................................................................................6
7. Responsabilidades dos usuários .............................................................................................7
8. Check-list ...............................................................................................................................8
9. Anexo I – Modelo de checklist ..............................................................................................9
2
Poder Judiciário
20
https://www.cisecurity.org/controls/
Poder Judiciário
21
https://attack.mitre.org.
22
https://www.abntcatalogo.com.br/norma.aspx?ID=306580.
23
https://csrc.nist.gov/Projects/risk-management/sp800-53-controls/release-search#!/800-53.
Poder Judiciário
4. Tipos de contas
4.1. Contas de usuário: estão exclusivamente associadas a uma pessoa específica.
Essas contas podem existir em um repositório central ao qual os sistemas podem federar
para consumir as informações de identidade e autenticação ou podem ser criadas
localmente em um sistema ou dispositivo em que a federação não é prática ou possível.
O uso da conta criada centralmente com autenticação federada é sempre o método
preferido.
4.2. Contas compartilhadas: as contas compartilhadas são criadas para oferecer
suporte a vários usuários que utilizam a mesma identidade. Por exemplo, elas podem ser
criadas quando há necessidade de compartilhar um conjunto de recursos ou porque uma
implementação deficiente do produto exige isso. O uso de contas compartilhadas não é
recomendado, pois são insuficientes para fins de responsabilização e auditoria.
4.3. Contas de serviço: uma conta de serviço é usada quando é necessário que
sistemas ou serviços se autentiquem em outros sistemas ou serviços sem qualquer
associação a uma pessoa. Essas contas devem ser criadas com moderação e a
documentação da finalidade para elas deve ser mantida. Seu uso deve ser revisado
Poder Judiciário
5. Autenticação
5.1. A autenticação é o processo pelo qual um sistema ou serviço confirma que uma
pessoa ou dispositivo realmente é quem afirma ser e por meio do qual o acesso ao recurso
solicitado é autorizado. É necessário a autenticação antes do uso de qualquer conta.
5.2. Devem ser empregados protocolos de autenticação seguros para a proteção das
informações pessoais e do órgão e evitar o uso indevido.
5.3. A autenticação geralmente é dividida em três tipos:
5.3.1. Algo que você sabe: as formas mais comuns são senha, pin ou padrão;
5.3.2. Algo que você tem: as formas mais comuns são token de hardware,
certificado ou um autenticador de software como o Google Authenticator, Duo ou outros;
5.3.3 Algo que você é: essa categoria costuma ser chamada de autenticação
biométrica e a forma mais comum são os leitores de impressão digital.
Poder Judiciário
6. Autorização
6.1. Autorizações são a permissão implícita ou explícita para usar um recurso
associado a uma conta. Depois que o uso de uma conta é autenticado, um sistema ou
recurso pode determinar se a pessoa ou software que solicita acesso está autorizado a usá-
lo. O gerenciamento e a manutenção das autorizações são de responsabilidade
compartilhada da área de tecnologia da informação e dos gestores de sistemas.
6.2. Todas as unidades envolvidas na concessão de autorizações são incentivadas a
desenvolver procedimentos que atendam aos requisitos articulados a seguir na política de
autorização.
6.3. Princípios de autorização
6.3.1 Menor privilégio
6.3.1.1. Uma autorização deve fornecer apenas os privilégios necessários para a
função a ser executada e nada mais. Observar esse princípio ajuda a garantir que os fluxos
de trabalho adequados sejam seguidos e o acesso às funções que podem expor os dados
seja contido tanto quanto possível.
6.3.2 Separação de funções
6.3.2.1. Quando uma autorização é concedida a uma conta, ela deve ser aprovada
preferencialmente por um ou vários indivíduos. Múltiplos aprovadores garantem que o
princípio do menor privilégio seja seguido tanto do ponto de vista técnico quanto do
processo, diminui a oportunidade de conflito de interesses ou fraude e reduz o risco de
erro. Conforme aplicada a autorização, exige-se que as funções de aprovador
administrativo e de aprovador técnico não sejam exercidas pela mesma pessoa ou, quando
for o caso, que o custodiante de dados não desempenhe nenhuma dessas funções.
6.3.3 Custodiantes de dados
Poder Judiciário
Definição Descrição
1 – Não observado ou inicial Fator não foi demonstrado claramente.
2 – Maturidade baixa ou em
Fator demonstrado claramente, mas não integrado.
desenvolvimento
Fator suficientemente demonstrado, integrado, mas não está
3 – Maturidade média ou definida
medido.
Maturidade
Nr. Item Referencial
1 2 3 4 5
Manual de Referência
Sumário
Introdução .................................................................................................................................... 14
1. Disposições Gerais ............................................................................................................... 14
1.1 Finalidade.......................................................................................................................... 14
1.2 Objetivo............................................................................................................................. 15
1.3 Abrangência ...................................................................................................................... 15
1.4 Público-alvo ........................................................................ Erro! Indicador não definido.
2. Programa de Capacitação em Segurança Cibernética do Poder Judiciário (PCASC-PJ)..... 16
2.1 Tipo de Ações ................................................................................................................... 16
2.2 Temas abrangidos ............................................................................................................. 18
3. Competências para Implementação das Ações ....................................................................18
3.1 Escolas de Formação......................................................................................................... 18
3.2 Área de Gestão de Pessoas ................................................................................................ 19
3.3 Área de Comunicação Social e Institucional .................................................................... 19
4. Resultados previstos............................................................................................................. 19
Poder Judiciário
0.2. O tema formação de cultura e de educação em segurança cibernética deve ser tratado
de forma equânime, uniforme e articulado com todos os órgãos do Poder Judiciário e em
conformidade com os mais atualizados paradigmas, procedimentos e padrões nacionais e
internacionais.
1.Disposições Gerais
1.1 Finalidade
1.1.1. A Política de Educação e Cultura em Segurança Cibernética do Poder Judiciário -
PECSC-PJ tem a finalidade de desenvolver e fortalecer a cultura, a educação, a
conscientização e as habilidades em segurança cibernética dos usuários de Tecnologia da
Informação e Comunicação (TIC) e de Segurança da Informação (SI), bem como
fomentar o desenvolvimento, o aprimoramento e a disseminação de conhecimentos,
14
Poder Judiciário
1.2 Objetivos
1.2.1. São objetivos da PECSC-PJ:
a) propiciar o constante aprimoramento dos níveis de segurança cibernética nos
ativos e serviços de Tecnologia da Informação e Comunicação nos órgãos do
Poder Judiciário;
b) inserir o tema da segurança cibernética como tópico estratégico e primordial a
constar das pautas institucionais de todos os órgãos do Poder Judiciário;
c) promover a elevação do grau de conhecimento e de consciência quanto à cultura
da segurança da cibernética no âmbito do Poder Judiciário;
d) assegurar que todo usuário dos serviços de informação do Poder Judiciário
tenha a devida compreensão de suas responsabilidades na proteção das
informações dos órgãos do Poder Judiciário;
e) assegurar que novos conhecimentos atinentes ao tema da segurança cibernética
sejam permanentemente ofertados aos profissionais das áreas de Tecnologia da
Informação e Comunicação e de Segurança da Informação, em nível acadêmico,
técnico, gerencial, entre outros aplicáveis.
1.3 Abrangência
1.3.1. Para os fins do disposto na PECSC-PJ, a segurança cibernética abrange:
a) a segurança da informação de forma geral;
b) a segurança física e a proteção de dados pessoais e institucionais;
c) a segurança física e a proteção de ativos de tecnologia da informação de forma
geral;
d) as ações destinadas a assegurar a disponibilidade, integridade,
confidencialidade e autenticidade de dados e informações;
e) as ações destinadas a assegurar o funcionamento dos processos de trabalho, a
continuidade operacional e a continuidade da prestação jurisdicional e
administrativa dos órgãos do Poder Judiciário;
15
Poder Judiciário
16
Poder Judiciário
2.1.2. Além das ações direcionadas para públicos-alvo específicos os órgãos do Poder
Judiciário devem estabelecer concomitantemente as seguintes ações de alcance amplo:
a) campanhas;
b) produção de fôlderes, cartazes, folhetos, notas informativas e/ou boletins
periódicos; e
c) testes públicos de segurança.
2.1.3. Cada órgão do Poder Judiciário deverá estabelecer uma carga horária mínima de
capacitação, podendo as ações previstas neste Manual serem efetuadas em diversas cargas
horárias e níveis de formação, assim divididas:
a) ações de capacitação em geral;
b) cursos de educação executiva de curta duração;
c) cursos de graduação;
d) cursos de especialização;
e) cursos de mestrado;
f) cursos de doutorado; e
g) cursos de pós-doutorado.
2.1.4. As ações previstas neste Manual deverão ser priorizadas no formato considerado
mais efetivo em termos de adequação ao aprendizado, ao aproveitamento e aos objetivos
pretendidos, podendo ser realizada, em âmbito nacional ou internacional, nas seguintes
modalidades:
a) presencial;
b) telepresencial;
c) on-line; ou
d) híbrida.
17
Poder Judiciário
18
Poder Judiciário
4 Resultados previstos
4.1. Os programas de formação, capacitação e reciclagem deverão propiciar que os órgãos
do Poder Judiciário possuam:
19
Poder Judiciário
4.2. Os órgãos do Poder Judiciário deverão apresentar ao CNJ, no início do ano seguinte,
relatório que comprove a efetividade das ações realizadas no exercício anterior e o
respectivo desempenho dos usuários e profissionais treinados.
20
Poder Judiciário
Glossário
21
Poder Judiciário
23
Poder Judiciário
24
Poder Judiciário
25
Poder Judiciário
26
Poder Judiciário
27
Poder Judiciário
28